MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

3.9.10

Circuito de afiliación para la diseminación de NoAdware

Detrás del malware se esconde un negocio. Sin lugar a dudas, creo que ya nadie desmiente esta afirmación. Día a día aparece un importante caudal de códigos maliciosos que si bien poseen propósitos generales en cuento a sus actividades, en definitiva buscan retroalimentar el negocio que se esconde detrás a través de mecanismos y estrategias fraudulentas.

Uno de los modelos de negocio más difundidos es el pago de un porcentaje de dinero para quienes logren promover determinado rogue. Este modelo se conoce como programas de afiliados, mientras que el sistema de pago por instalación recibe el nombre de Pay-per-Install.

Este es el caso del rogue NoAdware, un código malicioso de amplia difusión que opera desde hace varios años a través de diferentes coberturas.

Página principal de NoAdware
Desde esta web se descarga el binario que oficia de "recurso económico" para el sistema de afiliados y sus partners

Empleando las estrategias comunes impuestas por sitios web de este estilo, como falsas certificaciones y testimonios que intentan transmitir confianza en las potenciales víctimas, promociona la instalación de una supuesta solución de seguridad que es en realidad el malware.

Generalmente los sistemas de afiliados proveen sólo el ejecutable a diseminar, el cual muchos delincuentes lo propagan a través de algún crimeware del tipo exploit pack, y otros, en menor proporción, sólo lo propagan mediante una página que es creada y hosteada bajo su propia responsabilidad.

El sistema que se esconde detrás de NoAdware, facilita este asunto proporcionando la posibilidad de seleccionar un template y luego solo subirlo al hosting del afiliado. De esta manera, cuando una potencial víctima visita esta web, es direccionado a la página principal de NoAdware, y cada afiliado, en teoría, recibe el 75% de dinero por cada instalación. La venta de rogue (mimetizado en programa de seguridad) es de $47.00.

Sin embargo, también se manejan otros valores en relación directa con la cantidad de licencias:
  • 2 Computers ($67.00)
  • 3 Computers ($87.00)
  • 5 Computers ($117.00)
  • 10 Computers ($197.00)
  • 25 Computers ($417.00)
  • 50 Computers ($767.00)
Selección de sitio web para propagar NoAdware
El proceso consiste en dos etapas: seleccionar el template y descargarlo. Este sitio direccionará el tráfico web hacia la página principal de NoAdware

NoAdware también se promociona bajo el nombre Adware Professional 2010. Es exactamente la misma aplicación maliciosa que reporta su instalación contra el sistema que está detrás de NoAdware.

Hipotéticamente hablando, supongamos que un partner (afiliado/delincuente) logra una instalación exitosa por día durante 30 días (un mes). El 75% sobre $47 es de $35.25 (esto es lo que ganaría por día y por una sola instalación exitosa del malware). En consecuencia, este partner tendría una ganancia teórica de $1057.5 mensualmente.

Este programa de afiliados trabaja con un sistema de pagos a través de Internet, legal, llamado ClickBank, cuya principal particular es que las transacciones comerciales de un gran número de malware del tipo rogue es realizado a través de este sistema.

HopLink para NoAdware
Esta página direcciona el tráfico hacia la página oficial de NoAdware, enviando al mismo tiempo la información del afiliado para que el pago se registre en su cuenta

El direccionamiento es hacia la una URL con la siguiente sintaxis: noadware.net/?hop=[PARTNER-NICK]

De esta forma se registra el pago de un porcentaje de dinero en concepto de comisión para cada uno de los afiliados que forme parte del circuito de este rogue.

Circuito del sistema de afiliados
El gráfico muestra las diferentes etapas que recorre un sistema de afiliados convencional

Una de las evidencias que refleja la tasa de uso de ClickBank por parte de los grupos delictivos para garantizar transacciones económicas "seguras" es el importante caudal de sistemas de afiliados, muchos de ellos promocionan malware, que se encuentran bajo su techo. Algunos de ellos son:
Esta breve lista es solo una pequeña muestra, ya que el volumen de programas maliciosos que se promocionan a través de este medio es muy grande.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI
AntiSpy Safeguard with new social engineering approach

0 comentarios: